Permissões do IAM necessárias para o Elastic Beanstalk acessar segredos e parâmetros - AWS Elastic Beanstalk
Permissões do Secrets ManagerPermissões do Systems Manager Parameter Store

Permissões do IAM necessárias para o Elastic Beanstalk acessar segredos e parâmetros

Você deve conceder as permissões necessárias às instâncias do EC2 do seu ambiente para obter os segredos e parâmetros para o AWS Secrets Manager e o AWS Systems Manager Parameter Store. Permissões são fornecidas às instâncias do EC2 por meio de um perfil de instância do EC2.

As seções a seguir listam as permissões específicas que você precisa adicionar a um perfil de instância do EC2, dependendo do serviço usado. Siga as etapas fornecidas em Atualizar a política de permissões para um perfil no Guia do usuário do IAM para adicionar essas permissões.

Permissões do IAM para a plataforma Docker gerenciada pelo ECS

A plataforma Docker gerenciada pelo ECS exige permissões adicionais do IAM além das fornecidas neste tópico. Para obter mais informações sobre todas as permissões necessárias para que seu ambiente de plataforma Docker gerenciado pelo ECS ofereça suporte à integração das variáveis de ambiente do Elastic Beanstalk com segredos, consulte Formato do ARN do perfil de execução.

Permissões IAM necessárias para o Secrets Manager

As permissões a seguir concedem acesso para buscar segredos criptografados no armazenamento do AWS Secrets Manager:

  • secretsmanager:GetSecretValue

  • kms:Decrypt

A permissão para descriptografar um AWS KMS key é necessária somente quando o segredo usa uma chave gerenciada pelo cliente em vez da chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente.

exemplo política com permissões de chaves do Secrets Manager e do KMS
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}

Permissões do IAM necessárias Systems Manager Parameter Store

As seguintes permissões concedem acesso para obter parâmetros criptografados do AWS Systems Manager Parameter Store:

  • ssm:GetParameter

  • kms:Decrypt

A permissão para descriptografar uma AWS KMS key é necessária apenas para tipos de parâmetros SecureString que utilizam uma chave gerenciada pelo cliente em vez de uma chave padrão. A adição do ARN da chave personalizada adiciona a permissão para descriptografar a chave gerenciada pelo cliente. Os tipos de parâmetros regulares que não são criptografados, String e StringList, não precisam de uma AWS KMS key.

exemplo política com o Systems Manager e permissões de chaves do AWS KMS
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetParameter",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
                "arn:aws:kms:us-east-1:111122223333:key/my-key"
            ]
        }
    ]
}